English
Deutsch
Español – América Latina
Français
Indonesia
Italiano
Português – Brasil
中文 – 简体
中文 – 繁體
日本語
한국어

Console

Entre em contato Comece gratuitamente

Esta página foi traduzida pela API Cloud Translation.

Mudar o emissor de certificado padrão

O appliance com isolamento físico do Google Distributed Cloud (GDC) fornece uma API de infraestrutura de chave pública (PKI) para receber certificados da Web. Nesta página, fornecemos instruções para mudar o emissor de certificado padrão para outro. Para mais informações sobre modos de certificado PKI, consulte Configuração de certificado TLS da Web.

Antes de começar

Para receber as permissões necessárias para configurar o emissor de certificado padrão da PKI, peça ao administrador do IAM da organização para conceder a você a função de administrador da PKI de infraestrutura (infra-pki-admin) no namespace do sistema.

Mudar o emissor de certificado padrão

O rótulo do emissor padrão é parecido com o exemplo a seguir. Para cada namespace, um CertificateIssuer precisa conter o rótulo:
```
pki.security.gdc.goog/is-default-issuer: 'true'
```

Confira o emissor padrão atual no namespace pki-system:

kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true

A saída será assim:

NAME                    READY   REASON       ISDEFAULT
default-tls-ca-issuer   True    CAaaSReady   true

Edite o emissor padrão atual e atualize o rótulo dele no emissor:
```
kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'
```
Substitua CURRENT_DEFAULT_ISSUER pelo nome do emissor de certificado padrão atual.
Para definir o novo CertificateIssuer como o emissor padrão, atualize o rótulo:
```
kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true
```
Substitua NEW_DEFAULT_ISSUER pelo nome do novo emissor de certificado padrão.

Acionar manualmente a reemissão de certificados

Depois de trocar o emissor de certificado padrão, o dispositivo isolado do GDC não vai reemitir automaticamente os certificados assinados pelo emissor de certificado padrão anterior, a menos que o certificado esteja prestes a expirar. Para reemitir imediatamente certificados com o novo emissor padrão, consulte Reemitir manualmente certificados da Web da ICP.

Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.

Última atualização 2025-09-04 UTC.